Zagadnienia dotyczące ochrony danych
Na poniższym diagramie pokazano, w jaki sposób usługi przechowują i pobierają dane obiektów firmy Microsoft za pomocą warstwy autoryzacji kontroli dostępu opartej na rolach (RBAC). Ta warstwa wywołuje wewnętrzną warstwę dostępu do danych katalogu, zapewniając, że żądanie danych użytkownika jest dozwolone:
Microsoft Entra Internal Interfaces Access: komunikacja między usługami z innymi usługi firmy Microsoft, takimi jak Platforma Microsoft 365, używają interfejsów Microsoft Entra ID, które autoryzują wywołujących usługę przy użyciu certyfikatów klienta.
Dostęp do interfejsów zewnętrznych firmy Microsoft Entra: interfejs zewnętrzny firmy Microsoft Entra pomaga zapobiegać wyciekom danych przy użyciu kontroli dostępu opartej na rolach. Gdy podmiot zabezpieczeń, taki jak użytkownik, wysyła żądanie dostępu do odczytu informacji za pośrednictwem interfejsów Microsoft Entra ID, token zabezpieczający musi towarzyszyć żądaniu. Token zawiera oświadczenia dotyczące podmiotu zabezpieczeń wysyłającego żądanie.
Tokeny zabezpieczające są wydawane przez usługi uwierzytelniania firmy Microsoft Entra. Informacje o istnieniu użytkownika, stanie włączonym i roli są używane przez system autoryzacji do decydowania, czy żądany dostęp do dzierżawy docelowej jest autoryzowany dla tego użytkownika w tej sesji.
Dostęp do aplikacji: ponieważ aplikacje mogą uzyskiwać dostęp do interfejsów programowania aplikacji (API) bez kontekstu użytkownika, sprawdzanie dostępu zawiera informacje o aplikacji użytkownika i zakresie żądanego dostępu, na przykład tylko do odczytu, odczytu/zapisu itd. Wiele aplikacji używa protokołu OpenID Connect lub Open Authorization (OAuth), aby uzyskać tokeny dostępu do katalogu w imieniu użytkownika. Te aplikacje muszą mieć jawny dostęp do katalogu lub nie otrzymają tokenu z usługi uwierzytelniania Entra firmy Microsoft i uzyskują dostęp do danych z przyznanego zakresu.
Inspekcja: dostęp jest poddawane inspekcji. Na przykład autoryzowane akcje, takie jak tworzenie użytkownika i resetowanie hasła, tworzą dziennik inspekcji, który może być używany przez administratora dzierżawy do zarządzania działaniami lub badaniami dotyczącymi zgodności. Administratorzy dzierżawy mogą generować raporty inspekcji przy użyciu interfejsu API inspekcji firmy Microsoft Entra.
Dowiedz się więcej: Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft
Izolacja dzierżawy: wymuszanie zabezpieczeń w środowisku wielodostępnym firmy Microsoft pomaga osiągnąć dwa podstawowe cele:
- Zapobieganie wyciekom danych i dostępowi między dzierżawami: nie można uzyskać danych należących do dzierżawy 1 przez użytkowników w dzierżawie 2 bez wyraźnej autoryzacji przez dzierżawę 1.
- Izolacja dostępu do zasobów między dzierżawami: Operacje wykonywane przez dzierżawę 1 nie mogą mieć wpływu na dostęp do zasobów dla dzierżawy 2.
Izolacja dzierżawy
Poniższe informacje przedstawiają izolację dzierżawy.
- Usługa zabezpiecza dzierżawy przy użyciu zasad kontroli dostępu opartej na rolach w celu zapewnienia izolacji danych.
- Aby umożliwić dostęp do dzierżawy, podmiot zabezpieczeń, na przykład użytkownik lub aplikacja, musi mieć możliwość uwierzytelniania względem identyfikatora Entra firmy Microsoft w celu uzyskania kontekstu i ma jawne uprawnienia zdefiniowane w dzierżawie. Jeśli podmiot zabezpieczeń nie jest autoryzowany w dzierżawie, wynikowy token nie będzie nosić uprawnień, a system RBAC odrzuca żądania w tym kontekście.
- Kontrola dostępu oparta na rolach zapewnia, że dostęp do dzierżawy jest wykonywany przez podmiot zabezpieczeń autoryzowany w dzierżawie. Dostęp między dzierżawami jest możliwy, gdy administrator dzierżawy tworzy reprezentację podmiotu zabezpieczeń w tej samej dzierżawie (na przykład aprowizowanie konta użytkownika-gościa przy użyciu współpracy B2B) lub gdy administrator dzierżawy tworzy zasady umożliwiające relację zaufania z inną dzierżawą. Na przykład zasady dostępu między dzierżawami umożliwiające włączenie programu B2B Direct Connect. Każda dzierżawa jest granicą izolacji; istnienie w jednej dzierżawie nie oznacza istnienia w innej dzierżawie, chyba że administrator na to zezwala.
- Dane firmy Microsoft Entra dla wielu dzierżaw są przechowywane na tym samym serwerze fizycznym i dysku dla danej partycji. Izolacja jest zapewniona, ponieważ dostęp do danych jest chroniony przez system autoryzacji RBAC.
- Aplikacja klienta nie może uzyskać dostępu do identyfikatora Entra firmy Microsoft bez konieczności uwierzytelniania. Żądanie zostanie odrzucone, jeśli nie dołączono poświadczeń w ramach początkowego procesu negocjacji połączenia. Ta dynamika uniemożliwia nieautoryzowany dostęp do dzierżawy przez sąsiednie dzierżawy. Token poświadczeń użytkownika lub token języka SAML (Security Assertion Markup Language) jest obsługiwany za pomocą zaufania federacyjnego. W związku z tym jest weryfikowany przez identyfikator Entra firmy Microsoft na podstawie kluczy udostępnionych skonfigurowanych przez właściciela aplikacji.
- Ponieważ nie ma składnika aplikacji, który może zostać wykonany ze sklepu Core Store, nie jest możliwe, aby jedna dzierżawa wymuszała naruszenie integralności sąsiedniej dzierżawy.
Bezpieczeństwo danych
Szyfrowanie podczas przesyłania: w celu zapewnienia bezpieczeństwa danych dane katalogowe w identyfikatorze Entra firmy Microsoft są podpisane i szyfrowane podczas przesyłania między centrami danych w jednostce skalowania. Dane są szyfrowane i niezaszyfrowane przez warstwę sklepu Microsoft Entra Core Store, która znajduje się w zabezpieczonych obszarach hostingu serwerów skojarzonych centrów danych firmy Microsoft.
Usługi internetowe dostępne dla klientów są zabezpieczone za pomocą protokołu Transport Layer Security (TLS).
Magazyn tajny: zaplecze usługi Entra firmy Microsoft używa szyfrowania do przechowywania poufnych materiałów do użytku w usłudze, takich jak certyfikaty, klucze, poświadczenia i skróty przy użyciu zastrzeżonej technologii firmy Microsoft. Używany magazyn zależy od usługi, operacji, zakresu wpisu tajnego (całego użytkownika lub całej dzierżawy) i innych wymagań.
Te magazyny są obsługiwane przez grupę skoncentrowaną na zabezpieczeniach za pośrednictwem ustalonej automatyzacji i przepływów pracy, w tym żądania certyfikatu, odnowienia, odwołania i zniszczenia.
Istnieje inspekcja działań związana z tymi magazynami/przepływami pracy/procesami i nie ma stałego dostępu. Dostęp jest oparty na żądaniach i zatwierdzeniach oraz przez ograniczony czas.
Aby uzyskać więcej informacji na temat szyfrowania wpisów tajnych magazynowanych, zobacz poniższą tabelę.
Algorytmy: W poniższej tabeli wymieniono minimalne algorytmy kryptograficzne używane przez składniki firmy Microsoft Entra. Jako usługa w chmurze firma Microsoft ponownie ocenia i ulepsza kryptografię w oparciu o wyniki badań bezpieczeństwa, wewnętrzne przeglądy zabezpieczeń, kluczową siłę przed ewolucją sprzętu itd.
| Dane/scenariusz | Algorytm kryptografii |
|---|---|
| Hasła synchronizacji skrótów kont w chmurze |
Skrót: Funkcja wyprowadzania klucza hasła 2 (PBKDF2), używając kodu uwierzytelniania komunikatów opartego na skrótach (HMAC)-SHA256 @ 1000 iteracji |
| Katalog przesyłany między centrami danych | AES-256-CTS-HMAC-SHA1-96 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| Przepływ poświadczeń użytkownika uwierzytelniania przekazywanego | RsA 2048-Public/Private key pair Dowiedz się więcej: Szczegółowe omówienie zabezpieczeń uwierzytelniania przekazywanego firmy Microsoft |
| Samoobsługowe resetowanie hasła zapisywania zwrotnego haseł za pomocą programu Microsoft Entra Connect: chmura do komunikacji lokalnej | RSA 2048 Private/Public key pair AES_GCM (klucz 256-bitowy, 96-bitowy rozmiar IV) |
| Samoobsługowe resetowanie hasła: odpowiedzi na pytania zabezpieczające | SHA256 |
| Certyfikaty SSL dla aplikacji opublikowanych przez serwer proxy aplikacji firmy Microsoft |
AES-GCM 256-bitowy |
| Szyfrowanie na poziomie dysku | XTS-AES 128 |
| Bezproblemowe logowanie jednokrotne (SSO) — poświadczenia aprowizacji aplikacji jako usługi (SaaS) |
AES-CBC 128-bitowy |
| Tożsamości zarządzane dla zasobów platformy Azure | AES-GCM 256-bitowy |
| Aplikacja Microsoft Authenticator: logowanie bez hasła do usługi Microsoft Entra ID | Asymetryczny klucz RSA 2048-bitowy |
| Aplikacja Microsoft Authenticator: tworzenie kopii zapasowych i przywracanie metadanych konta przedsiębiorstwa | AES 256 |
Zasoby
- Dokumenty zaufania usług firmy Microsoft
- Centrum zaufania Microsoft Azure
- Odzyskiwanie po usunięciu w identyfikatorze Entra firmy Microsoft
Następne kroki
- Microsoft Entra ID i miejsce przechowywania danych
- Zagadnienia dotyczące działania danych
- Zagadnienia dotyczące ochrony danych (jesteś tutaj)